Publicaciones

El pronóstico climatológico antivirus: nublado

Introducción

Hoy en día, cuando escaneas recursos de Internet o participas en discusiones, resulta inevitable que te encuentres con materiales y comentarios relacionados con el uso de tecnologías nube para la protección antivirus.

Las opiniones son numerosas, desde aquellas que acusan a los fabricantes que se permiten descaradas campañas publicitarias sin los beneficios ofrecidos por la nube antivirus, hasta declaraciones de que estas así llamadas nubes son la panacea universal. Tanto los usuarios de Internet como los profesionales en seguridad informática están envueltos en estas discusiones, y no parecen ponerse de acuerdo.

El objetivo de este artículo es intentar llegar realmente al fondo de esta cuestión. Trataremos solo la colaboración en tiempo real del producto antivirus personal instalado en el ordenador del usuario con la infraestructura de nube del fabricante. Este artículo no trata los servicios SaaS/hosted.

A fin de ganar en simplicidad, usaremos en término “nube antivirus” para referirnos al sistema de la compañía antivirus usado para procesar la información obtenida del ordenador del usuario para identificar nuevas, y aún desconocidas amenazas. Anticipándome a cualquier objeción contra el uso del término “nube” para nombrar la colaboración que surge en circunstancias similares, quiero decir que este es el sentido ya tradicional en este contexto. Las discusiones sobre la conveniencia del uso de este nombre están más allá del alcance de este artículo.

El presente artículo ofrece una respuesta a esta pregunta: ¿Qué es una nube antivirus, y cuáles son sus ventajas y desventajas? Este artículo está dirigido principalmente a los lectores interesados en aprender más sobre la protección de la nube antivirus, y que quieran comprender los principios generales de cómo funciona esta nube antivirus y qué es lo que ofrece en cuanto a protección.

La era pre-nube, o lo que originó la formación de la nube

Durante los últimos 20 años, la protección antivirus se ha basado fundamentalmente en el análisis de signaturas y en el análisis heurístico. Esto era suficiente para contrarrestar con eficacia los contenidos maliciosos, ya que:

  • nuevos programas maliciosos aparecían de manera relativamente poco frecuente, e incluso los pocos laboratorios antivirus de las compañías antivirus no tenían problemas en enfrentarlos;
  • el tiempo de respuesta que las actualizaciones típicas ofrecían para los productos antivirus satisfacían por completo los requerimientos y eran suficiente para neutralizar las amenazas.

Sin embargo, entre los años 2003 y 2004, constatamos una evolución en los medios de comunicación, un vertiginoso crecimiento en el número de usuarios, y el advenimiento de los negocios en línea, todos conllevando atractivas condiciones para los ciberpiratas. En un principio, los programas maliciosos se crearon con simples fines de diversión o para probar la habilidad de un autor de virus. Después, a medida que aparecían más oportunidades para ganar dinero aprovechando la propiedad virtual de otras personas, y robando el dinero de otros, los ciberdelincuentes empezaron a desarrollar proactivamente programas maliciosos con afanes de lucro.


Incremento en el número de archivos maliciosos únicos detectados por Kaspersky Lab

Además del incremento en el número de nuevos archivos maliciosos, también verificamos un aumento en la cantidad y diversidad de formas de robar dinero: los ciberdelincuentes desarrollaron técnicas más efectivas para lanzar ataques.

 
Evolución de los programas maliciosos

Los desarrolladores antivirus siguieron mejorando los métodos heurísticos de detección de programas maliciosos (malware) e introdujeron sistemas automáticos y/o funciones automáticas de detección en sus productos. Esto último llevó a un significativo aumento en el volumen de actualizaciones que llegaron a un punto en el que las descargas de actualizaciones se estaban convirtiendo en un inconveniente significativo para los usuarios.


Incremento anual del número de actualizaciones antivirus en MB (incluyendo los pronósticos para 2010)

La continua lucha entre los ciberpiratas y las compañías antivirus se ha tornado más feroz, y cada lado ha examinado proactivamente las herramientas y métodos de su oponente. Entre los años 2008 y 2009, la velocidad a la que los nuevos programas maliciosos aparecían, alcanzó un nuevo nivel y los sistemas típicos de actualizaciones ya no eran suficientes para contrarrestar las amenazas. Según un estudio realizado en el segundo trimestre del año 2010 por parte de NSS Labs, las compañías antivirus necesitaron entre 4,62 y 92,48 horas para neutralizar las amenazas en línea. Toda mejora en los tiempos de respuesta ante amenazas usando las típicas actualizaciones antivirus se hizo imposible, ya que el tiempo necesario para detectar las amenazas, analizarlas y comprobar las actualizaciones antivirus había ya alcanzado un mínimo.

 
Protección del usuario ante el surgimiento de una amenaza contra la instalación de una actualización antivirus

Parecería que el tiempo de respuesta podría mejorarse usando métodos de detección heurística, que serían muy útiles para bloquear amenazas tan pronto como surgieran, sin esperar la publicación de las actualizaciones de las bases de datos antivirus. Sin embargo, los métodos heurísticos detectan, en promedio, sólo un 50-70% de las amenazas, lo que significa que un 30-50% de todas las amenazas emergentes burlan a los métodos heurísticos.

Como resultado, las principales preguntas que la industria antivirus ha tenido que plantearse son:

  • ¿Cómo se puede automatizar la protección para contrarrestar el creciente volumen de amenazas?
  • ¿Cómo se puede minimizar el tamaño de las bases de datos antivirus y al mismo tiempo conservar un alto nivel de protección?
  • ¿Cómo se puede mejorar significativamente el tiempo de respuesta contra las amenazas emergentes?

Estas preguntas han obligado a los desarrolladores antivirus a dedicar más atención al desarrollo de métodos alternativos para detectar y neutralizar las modernas amenazas. Las tecnologías de nube antivirus es uno de esos métodos.

Cómo funciona la nube antivirus

Como se dijo líneas arriba, este artículo recurre al término “nube antivirus” en referencia a la infraestructura que una compañía antivirus usa para procesar la información obtenida de los equipos que usan un determinado producto personal para poder identificar amenazas nuevas y aún sin detectar, además de realizar una serie de otras tareas. Las tecnologías usadas para almacenar y procesar información permanecen en segundo plano. El programa antivirus envía una petición a la nube para verificar si hay información disponible sobre un programa, actividad, enlace o recurso determinado. La respuesta será “sí, dicha información está disponible”, o “no, no hay información disponible”.

¿En qué difiere la nube de las actualizaciones antivirus?


Comunicación del usuario con los servidores de actualización

 


Comunicación del usuario con la nube

Opciones del usuario para comunicarse con la infraestructura antivirus

Un sistema de actualización asume una vía de interacción entre la compañía antivirus y el usuario de un solo sentido: desde el fabricante antivirus hacia el usuario. No existe una retroalimentación de parte del usuario, razón por la cual no es posible identificar de inmediato las actividades sospechosas u obtener información sobre la propagación de una amenaza o su origen. A menudo, las compañías antivirus se enfrentan con retrasos ya que deben obtener este tipo de información a través de otros canales de datos.

Por el contrario, el enfoque de la nube es bilateral. Varios equipos conectados a la nube a través de un servidor central informan a la nube sobre el origen de infecciones y sobre cualquier actividad sospechosa que hayan detectado. Tras procesar la información, ésta está accesible para otros equipos que estén conectados a la nube. En realidad, los usuarios pueden compartir información a través de la infraestructura de la compañía antivirus (¡no directamente de uno a otro!) sobre ataques recibidos y el origen de estos ataques. El resultado es una red antivirus intelectual integrada y distribuida que funciona como un solo organismo.

La principal diferencia entre la nube y las actuales tecnologías antivirus es el objeto que se detecta. Mientras que las generaciones más antiguas de tecnologías (como las signaturas) trabajaban con objetos en forma de archivos, la nube antivirus trabaja con metadatos. Consideremos este ejemplo para entender qué son los metadatos: Supongamos que tenemos un archivo, eso es un objeto. La información sobre ese archivo son los metadatos que incluyen el identificador único del archivo (la función hash): los datos sobre la forma en que el archivo penetró el sistema, su comportamiento, etc. Las nuevas amenazas se identifican en la nube usando metadatos aun cuando los archivos mismos no se transmitan a la nube para un análisis inicial. Este enfoque facilita la recolección de datos en tiempo real desde decenas de millones de participantes voluntarios en una red antivirus distribuida, a fin de identificar malware aún no detectado.

Por ejemplo, si el usuario de un antivirus participa en la red Kaspersky Security Network (KSN), el producto empezará a enviar dos tipos distintos de metadatos a Kaspersky Lab:

  • datos sobre infecciones o ataques;
  • datos sobre archivos ejecutables con actividad sospechosa

Debe enfatizarse que esta información se enviará sólo con el consentimiento del usuario.

El sistema experto identifica las amenazas y las verifica para evitar errores antes de tomar una decisión, y después busca el origen de propagación de la amenaza. Una vez detectado el origen, se le aplica una serie de verificaciones automáticas a fin de eliminar todos los falsos positivos. Los datos así obtenidos por el sistema experto sobre las amenazas nuevas emergentes y su origen se ponen de inmediato a disposición de todos los usuarios del producto.

Los metadatos sobre infecciones se usan para entrenar a los sistemas expertos, que consecuentemente responden con rapidez a los más recientes programas maliciosos y técnicas de los ciberdelincuentes, identificando de forma automática las amenazas activas en los equipos de los usuarios. La información usada por el sistema para su autoaprendizaje incluye veredictos de la detección heurística y por signaturas. Debe enfatizarse que la protección más efectiva del usuario se logra mediante un enfoque combinado que integra la nube antivirus con otras tecnologías antivirus de amplio uso actual.

Al recopilar y procesar la información sobre actividades sospechosas proveniente de cada participante en la red, la nube es, en esencia, un poderoso sistema experto diseñado para analizar las actividades delictivas en Internet. Los datos necesarios para neutralizar ataques se ponen a disposición de todos los participantes de la red nube, lo que ayuda a prevenir posteriores infecciones.

Ventajas y desventajas de la nube

Lo bueno

  • Tiempo de respuesta. Esta es una de las más importantes ventajas de la protección de nube. La rapidez con la cual se detecta una amenaza y su consecuente neutralización supera sobremanera la rapidez con la que las actualizaciones antivirus convencionales protegen al usuario. Mientras que una actualización de signaturas puede necesitar varias horas, la tecnología de nube puede identificar y detectar nuevas amenazas en cuestión de minutos.

     
    Protección con tecnologías de nube

    La etapa más larga de este proceso es el análisis de los datos obtenidos de los metadatos del usuario, para llegar a identificar malware desconocido. Sin embargo, incluso este proceso toma apenas unos minutos.

  • Lógica escondida en el proceso de toma de decisiones. Puesto que el análisis de los metadatos se realiza en los servidores de la compañía antivirus, los ciberpiratas no pueden analizar los algoritmos usados en la identificación de contenidos maliciosos para aprovecharse de ellos. Gracias a esta característica, el proceso de toma de decisiones del sistema se mantiene altamente eficiente por un largo periodo de tiempo. Esto distingue la protección de nube de los métodos de detección de signaturas y heurístico, ya que estos constantemente deben actualizarse. Esto es crucial para mantener altos índices de detección: una vez que se publican las actualizaciones regulares, los autores de virus las analizan para desarrollar la siguiente versión del programa, lo que requerirá la publicación de una nueva actualización.
  • Identificación de amenazas nuevas, aún sin detectar, y su origen. Este enfoque ayuda a prevenir que los usuraos activen recursos usados para la propagación de contenidos maliciosos. Considerando que el origen de las amenazas se actualiza con nuevos programas maliciosos, algunos de éstos pueden burlar la detección. La neutralización tanto de las amenazas como del origen resuelve automáticamente este problema.
  • Integridad de la base de datos de amenazas. Al recopilar datos en tiempo real desde los participantes en una red antivirus distribuída que abarca todo el planeta, el sistema experto puede mantener una base de datos más completa de las amenazas que si se trabajara sólo con la detección de signaturas. La nube posee bases de datos completas: cuándo se lanza el ataque, la amenaza usada en el ataque, y el alcance del ataque.
  • Minimización de falsos positivos. Algunos profesionales han llegado incluso a afirmar que el uso de la nube aumenta la posibilidad de falsos positivos (es decir, detección errónea de archivos legítimos). Esto es absolutamente falso. La práctica ha demostrado que el nivel de falsos positivos con la detección de nube es al menos 100 veces menor que con la detección convencional de signaturas. Esto es así porque en el núcleo mismo del sistema experto de protección se encuentra un proceso de verificación de múltiples niveles diseñado para prevenir e identificar oportunamente este tipo de errores. Además, si llega a darse un falso positivo, la tecnología de nube es mucho más rápida en identificarlo y corregirlo.
  • Facilidad de automatización del proceso de detección. La forma en que la nube identifica amenazas aún no detectadas se presta sin inconvenientes a la automatización, superando el rendimiento de los métodos de detección heurístico y de signaturas.
  • El uso de la protección de nube ayuda a minimizar el volumen de bases de datos que los usuarios descargan, porque las bases de datos de la nube no llegan al equipo del usuario. Sin embargo, se debe enfatizar de nuevo que el acceso a la infraestructura de la nube depende por completo de que el equipo del usuario esté conectado a la red de forma permanente. Esto, por supuesto, también es cierto para las actualizaciones convencionales, que necesitan una conexión regular para las descargas. Pero a diferencia de la nube, si un usuario descarga una actualización, seguirá protegido incluso cuando se interrumpa la conexión. Sin embargo, en el sistema de nube, la protección cesa si se interrumpe la conexión.

    Lo malo

  • Detección basada sólo en funciones hash. En los inicios de la infraestructura de nube, la detección se basaba sólo en funciones hash (usadas como identificadores únicos de archivos). A medida que resultaba evidente que este enfoque era insuficiente, las compañías comenzaron a introducir otros enfoques que permitieran que una nube de signaturas identificara familias enteras de amenazas (incluyendo las familias polimorfas). La nube dejará, esencialmente, de ser reactiva, dando lugar a una detección proactiva: una muy esperada evolución.
  • Problemas con el tráfico en las conexiones de ancho de banda limitado (dial-up, GPRS, etc.). Una vez más, este problema era propio de los inicios de los sistemas de nube. La introducción de enfoques que se adaptan a la gentión del tráfico está resolviendo con éxito este problema.
  • Funciona sólo con archivos ejecutables. Es verdad que la actual tecnología apunta a identificar amenazas sólo en archivos ejecutables. Sin embargo, se han hecho significativos avances en la detección de otro tipo de amenazas. Como resultado, esta limitación se resolverá en un futuro cercano.
  • La red no es confiable. Esto es sin duda alguna una seria dificultad. El concepto mismo que sostiene al sistema de nube presume que la interacción con el usuario se realizará mediante canales de la red. En consecuencia, si no hay conexión de red a la infraestructura de la nube, no habrá protección. Sin embargo, como la protección de nube no se considera independiente de las actuales tecnologías de seguridad informática, el método de signaturas sigue vigente y en funcionamiento en caso de que no haya conexión activa, por lo que el equipo no quedará desprotegido.
  • Falta de autenticación o verificación de la exactitud de los datos que se reciben. Este es también un problema detectado en las primeras versiones de la infraestructura de nube. Para resolverlo, todo lo que se necesita es verificar la legitimidad del origen de los datos.

Como resultado, la única verdadera dificultad que aún queda por resolver es la dependencia de la protección del usuario de la disponibilidad de una conexión estable. Kaspersky Security Network habrá resuelto todos los otros problemas en la siguiente versión de su protección de nube.

Algunas controversias

Existen otros temas sobre la protección de nube que se siguen discutiendo en Internet, y son lo que los panelistas ven como desventajas. Sin embargo, estos puntos no constituyen fallas en sí. Queremos abordar estos temas y explicar por qué no pueden considerarse como debilidades.

  • El hecho de que el usuario pueda obtener una respuesta creada por un ciberpirata que simula ser una compañía antivirus. La inclusión de una signatura digital con los datos que se envían, ayudará a resolver este problema.
  • La nube no puede proteger al usuario durante el análisis a petición (análisis de objetos que no se realizan en tiempo real, sino a petición del usuario) debido al elevado número de peticiones de análisis al servidor de la nube. La protección de nube puede detectar amenazas sin causar ningún tipo de problemas durante el análisis a petición. Sin embargo, esto puede dar lugar a otra interrogante: ¿Es aconsejable usar el análisis a petición para proteger al usuario contra las amenazas activas? Como la experiencia ha demostrado, el análisis a petición ayuda muy poco en la lucha contra las amenazas activas. Si se activa el sistema de Protección al acceso (es decir, el sistema para identificar amenazas en tiempo real cuando se accede al objeto infectado), entonces este será el componente que proporcionará al usuario la protección inicial. Si el Análisis a petición detecta algo mientras el sistema de Protección al acceso está activado, se tratará muy probablemente de un programa malicioso latente que, de una u otra manera, se neutralizará tan pronto como se ejecute o si otras aplicaciones le envían peticiones. En otras palabras, el uso del Análisis a petición en el ambiente de seguridad de nube, es posible, pero no es una manera muy efectiva de protección contra amenazas activas.

¿El enfoque de nube es una bala de plata o es sólo una moda pasajera?

Hemos revisado las circunstancias que llevaron a la creación de las nubes antivirus, y hemos analizado brevemente el funcionamiento de la nube de protección, con sus pros y sus contras.

¿Dónde encaja la nube en la moderna industria antivirus? ¿Existe algún beneficio real al usar la tecnología de nube y ofrece algo realmente novedoso?

El enfoque de la nube no es desde luego una bala de plata contra los ciberpiratas. Pero la protección de nube ya ha comprobado que ofrece varias ventajas significativas: identifica y neutraliza nuevas amenazas con mucha rapidez, y no sólo neutraliza amenazas, sino que también neutraliza su origen. Esto nos permite entrever un nuevo horizonte en la evolución de la industria antivirus. Además, todas estas ventajas pueden automatizarse mediante un sistema experto que ofrece un bajo índice de falsos positivos.

La nube no es sólo una moda pasajera, sino una efectiva tecnología de seguridad informática. A medida que estas tecnologías evolucionen, su rol y significado dentro de la industria antivirus seguirá en aumento.

Sin embargo, no debemos ver la nube antivirus simplemente como una tecnología de seguridad separada. Sin duda alguna, los sistemas de nube pueden funcionar de manera completamente automática, sin recurrir a la rica experiencia que la industria antivirus ha acumulado en la detección de amenazas. Sin embargo, la efectividad de este tipo de enfoque está lejos de ser la ideal. Una máxima protección solo se alcanza mediante la combinación de varias tecnologías de seguridad comprobadas con los sistemas de nubes antivirus. El resultado de este enfoque combinado es superior al uso aislado de sus componentes: ofrece el rápido tiempo de respuesta de los sistemas de nube contra las amenazas aún no detectadas, mientras que mantiene altos niveles de detección, proactividad, un bajo margen de errores, y ofrece una completa base de datos de amenazas.

Por favor envía tus consultas a yury.mashevsky@Kaspersky.com y se las tratará en futuros artículos.

Para consultas en otros idiomas que no sean ruso ni inglés, por favor envía un mensaje a tu oficina local de Kaspersky Lab donde se las traducirá para después reenviarlas al autor. ¡Muchas gracias!

El pronóstico climatológico antivirus: nublado

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada